第七章电子商务的安全

第七章电子商务安全教学内容7.1电子商务安全需求7.1.1电子商务面临的威胁7.1.2电子商务的安全性要求7.2电子商务安全技术7.2.1加密技术7.2.2认证技术7.2.3安全协议7.2.4防火墙技术7.3电子商务安全管理7.3.1机构制度管理7.3.2风险制度管理7.3.3法律制度管理7.3.4安全提示教学目的1.了解电子商务面临的安全威胁和电子商务安全管理的政策与法规。2.理解电子商务安全管理。3.熟悉电子商务安全的目标。4.掌握实现电子商务安全的相关技术。教学重点1.电子商务安全的目标2.实现电子商务安全的相关技术教学难点1.实现电子商务安全的相关技术教学方法讲授法、探究法、案例法课时数4课时引例1：如何避免网络钓鱼攻击获取客户信息根据英国的一互联网监测公司Netcraft声称，2006年3月12日，中国一家银行的服务器被网络骗子用做网络钓鱼（phishing）网站的主机，以复制美国一些银行和网络零售商的顾客资料。这是银行网络首次被犯罪分子用来偷取另一银行顾客资料的攻击事件。攻击中发出的电子邮件是伪装成摩根大通网上银行的调查，邮件中谎称用户只要填写账号和个人信息后，会收到20美元的辛苦费。那么什么是网络钓鱼攻击？如何识别垃圾邮件及假冒邮件？在发送和接收邮件时应该注意什么？引例2：如何预防病毒的危害2006年12月初，我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。卡通化外表的病《电子商务概论》教案１毒，隐藏着巨大的传染力，短短几个月，“熊猫烧香”病毒给成千上万个人用户、网吧及企业局域网用户，造成直接和间接损失超过1亿元。如何预防计算机病毒和网络病毒呢？第一节电子商务的安全目标电子商务的安全问题主要体现在安全技术问题、法律问题、复杂的管理问题这三方面。一、电子商务面临的威胁（一）个人电脑面临的威胁在个人上网时，通常会遇到的威胁有以下几种：被他人盗取用户密码、信用卡账号等；计算机系统被木马攻击；用户在浏览网页时，被恶意程序进行攻击；个人计算机受计算机病毒感染；被黑客攻击等。（二）网络安全威胁1．黑客攻击2．搭线窃听3．伪装身份4．信息泄密、篡改、销毁5．间谍软件袭击6．网络钓鱼二、电子商务安全性要求1．信息的保密性2．信息的完整性3．信息的不可否认性4．交易者身份的真实性5．系统的可靠性第二节电子商务安全技术一、加密技术加密技术是利用技术手段把原始信息变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）信息。原始信息通常称为“明文”，加《电子商务概论》教案２密后的信息通常称为“密文”。加密技术包括两个元素：算法和密钥。算法是将明文与一串字符（密钥）结合起来，进行加密运算后形成密文。密钥是在明文转换为密文或将密文转换为明文的算法中输入的一串字符，它可以是数字、字母、词汇或语句。由此可见，在加密和解密过程中，都涉及信息（明文、密文）、密钥（加密密钥、解密密钥）和算法（加密算法、解密算法）这3项内容。常用的现代加密体制有两种：对称加密体制和非对称加密体制。（一）对称加密体制1．对称加密体制的工作过程图7.1对称加密体制的工作过程2．对称加密体制的优点与缺点对称加密体制具有算法简单，系统开销小；加密数据效率高，速度快的优点；适合加密大量数据。但是在发送、接收数据之前，对称加密体制需要产生大量的密钥，所以管理密钥会有一定的难度；第二，在网络通信中，密钥难以共享；即密钥的分发是对称加密体制中最薄弱、风险最大的环节，而且无法实现数字签名和身份验证；3．对称加密体制的算法目前，比较常用的对称密钥算法有DES（dataencryptionstandard，数据加密标准）。DES算法是一个对称的分组加密算法。（二）非对称加密体制1．非对称加密体制的工作过程图7.2非对称加密体制的工作过程《电子商务概论》教案３2．非对称加密体制的优点与缺点非对称加密体制在网络中容易实现密钥管理，只要管理好自己的私钥就可以；便于进行数字签名和身份认证，从而保证数据的不可抵赖性；不必记忆大量的密钥，发放方只要得到可靠的接收方的公开密钥就可以给接收方发送信息。然而非对称加密算法实现过程较复杂，加密数据的速度和效率较低，对大报文加密困难。3．非对称加密体制的算法目前，非对称加密体制的算法使用最多的是RSA。RSA是1978年由R.L.Rivest、A.Shamir和L.Adleman设计的非对称加密方法，算法以发明者名字的首字母来命名。它是第一个既可用于加密，也可用于数字签名的算法。一般来说，RSA只用于少量数据加密，在互联网中广泛使用的电子邮件和文件加密软件PGP（prettygoodprivacy）就是将RSA作为传送会话密钥和数字签名的标准算法。（三）对称加密体系与非对称加密体系的对比表7.1对称加密体系和非对称加密体系的对比比较项目对称加密体制非对称加密体制代表算法DESRSA密钥数目单一密钥密钥是成对的密钥种类密钥是秘密的一个私有，一个公开密钥管理简单，但不好管理需要数字证书及可靠的第三者相对速度非常快慢主要用途大量数据加密数字签名或密钥分配的加密（四）对称加密体系与非对称加密体系的结合二、认证技术（一）身份认证概述实现身份认证的物理基础主要有以下3种。用户所知道的（somethingtheuserknows）。用户所拥有的（somethingtheuserpossesses）。《电子商务概论》教案４用户的特征（somethingtheuserisorhowhe/shebehaves）。（二）消息认证概述1．消息摘要2．数字签名图7.3数字签名原理示意图3．数字时间戳三、安全协议（一）传输层安全协议—SSLSSL将对称密码技术和公开密码技术相结合，可以实现如下3个通信目标：秘密性、完整性、认证性。图7.4支持SSL协议的锁形安全标志（二）应用层安全协议—SET图7.5SET协议的交易流程《电子商务概论》教案５（三）SSL协议与SET协议的比较表7.2SSL协议和SET协议的对比对比项SSL协议SEL协议参与方客户、商家和网上银行客户、商家、支付网关、认证中心和网上银行软件费用已被大部分浏览器和服务器所内置，因此可直接投入使用，无需额外的附加软件费用必须在银行网络、商家服务器、客户机上安装相应的软件，因此增加了许多附加软件费用便捷性SSL在使用过程中无需在客户端安装电子钱包，因此操作简单；每天交易有限额规定，因此不利于购买大宗商品；支付迅速，几秒钟便可完成支付SET协议在使用中必须使用电子钱包等进行付款，因此在使用前，必须先下载电子钱包等软件，因此操作复杂，耗费时间；每天交易无限额，利于购买大宗商品；由于存在着验证过程，因此支付缓慢，有时还不能完成交易安全性只有商家的服务器需要认证，客户端认证则是有选择的；缺少对商家的认证，因此客户的信用卡号等支付信息有可能被商家泄露安全需求高，因此所有参与交易的成员—客户、商家、支付网关、网上银行都必须先申请数字证书来认证身份；保证了商家的合法性，并且客户的信用卡号不会被窃取，替消费者保守了更多的秘密，使其购物和支付更加放心四、防火墙技术防火墙实际上是一种隔离技术，是指一种将内部网和公众访问网（如互联网）分开的方法。第三节电子商务的安全管理一、机构制度管理（一）认证机构1．认证机构的功能2．CA的国内外发展状况（二）数字证书1．数字证书的定义《电子商务概论》教案６图7.6中国数字认证网的数字证书2．数字证书的分类从数字证书的应用角度来看，数字证书可以分为以下几种：服务器证书、电子邮件证书、客户端证书。3．数字证书的应用二、风险制度管理电子商务风险管理就是跟踪、评估、监测和管理商务整个过程中所形成的电子商务风险，尽力避免电子商务风险给企业造成的经济损失、商业干扰以及商业信誉丧失等，以确保企业电子商务的顺利进行。三、法律制度管理2004年8月28日全国人大常委会第十一次会议通过了《中华人民共和国电子签名法》。签名法是我国推进电子商务发展，扫除电子商务发展障碍的重要步骤。该法被认为是中国首部真正电子商务法意义上的立法。2005年1月28日中华人民共和国信息产业部第十二次部务会议审议通过《电子认证服务管理办法》，自2005年4月1日起施行。2009年4月，央行、银监会、公安部和国家工商总局联合发布《关于加强银行卡安全管理预防和打击银行卡犯罪的通知》，国家监管部门开始真正着《电子商务概论》教案７手加强第三方支付企业的监管。2010年6月1日国家工商总局出台的《网络商品交易及有关服务行为管理暂行办法》明确规定，通过网络从事商品交易及有关服务行为的自然人，应提交其姓名和地址等真实身份信息。2010年6月21日中国人民银行出台了《非金融机构支付服务管理办法》，要求第三方支付公司必须在2011年9月1日前申请取得《支付业务许可证》，且全国性公司注册资本最低为1亿元。该《办法》的出台意在规范当前发展迅猛的第三方支付行业。四、安全提示针对个人用户常用的Windows操作系统，对用户日常操作予以提示。（1）必须安装防火墙和杀毒软件。（2）创造一个伪造的、无实际权利的管理员（Administrator）用户。（3）禁止所有磁盘自动运行。（4）不双击U盘。（5）经常检查开机启动项。（6）经常备份重要数据。（7）隐私文件要加密。（8）使用复杂的密码。（9）不要随便接收文件。归纳与提高通过本章的学习，使我们明白在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上，还应具备：强大的加密系统，使用者和数据的识别和鉴别，联网交易和支付的可靠，方便的密钥管理，数据的完整、防止抵赖，以及电子商《电子商务概论》教案８务对计算机网络安全与商务安全的双重要求，使电子商务安全的复杂程度比大多数计算机网络更高。因此，电子商务安全的技术水平的提高、管理制度的完善、法律制度的健全是一个长期不懈的重任。